2. it
  3. 应急响应

应急响应

mac2025-11-28  12

6.8. 应急响应¶

6.8.1. 响应流程¶

6.8.1.1. 事件发生¶

运维监控人员、客服审核人员等发现问题,向上通报

6.8.1.2. 事件确认¶

判断事件的严重性,评估出问题的严重等级,是否向上进行汇报等

6.8.1.3. 事件响应¶

各部门通力合作,处理安全问题,具体解决阶段

6.8.1.4. 事件关闭¶

处理完事件之后,需要关闭事件,并写出安全应急处理分析报告,完成整个应急过程。

6.8.2. 事件分类¶

病毒、木马、蠕虫事件Web服务器入侵事件第三方服务入侵事件 系统入侵事件 利用Windows漏洞攻击操作系统 网络攻击事件 DDoS / ARP欺骗 / DNS劫持等

6.8.3. 分析方向¶

6.8.3.1. 文件分析¶

基于变化的分析 日期文件增改最近使用文件 源码分析 检查源码改动查杀WebShell等后门 系统日志分析 应用日志分析 分析User-Agent,e.g. awvs / burpsuite / w3af / nessus / openvas对每种攻击进行关键字匹配,e.g. select/alert/eval异常请求,连续的404或者500 md5sum 检查常用命令二进制文件的哈希,检查是否被植入rootkit

6.8.3.2. 进程分析¶

符合以下特征的进程 CPU或内存资源占用长时间过高没有签名验证信息没有描述信息的进程进程的路径不合法 dump系统内存进行分析

6.8.3.3. 网络分析¶

防火墙配置DNS配置路由配置

6.8.3.4. 配置分析¶

查看Linux SE等配置查看环境变量查看配套的注册表信息检索,SAM文件内核模块

6.8.4. Linux应急响应¶

6.8.4.1. 文件分析¶

最近使用文件 find / -ctime -2C:\Documents and Settings\Administrator\RecentC:\Documents and Settings\Default User\Recent%UserProfile%\Recent 系统日志分析 /var/log/ 重点分析位置 /var/log/wtmp 登录进入,退出,数据交换、关机和重启纪录/var/run/utmp 有关当前登录用户的信息记录/var/log/lastlog 文件记录用户最后登录的信息,可用 lastlog 命令来查看。/var/log/secure 记录登入系统存取数据的文件,例如 pop3/ssh/telnet/ftp 等都会被记录。/var/log/cron 与定时任务相关的日志信息/var/log/message 系统启动后的信息和错误日志/var/log/apache2/access.log apache access log/etc/passwd 用户列表/etc/init.d/ 开机启动项/etc/cron* 定时任务/tmp 临时目录~/.ssh

6.8.4.2. 用户分析¶

/etc/shadow 密码登陆相关信息uptime 查看用户登陆时间/etc/sudoers sudo用户列表

6.8.4.3. 进程分析¶

netstat -ano 查看是否打开了可疑端口w 命令,查看用户及其进程 分析开机自启程序/脚本 /etc/init.d~/.bashrc 查看计划或定时任务 crontab -l netstat -an / lsof 查看进程端口占用

6.8.5. Windows应急响应¶

6.8.5.1. 文件分析¶

最近使用文件 C:\Documents and Settings\Administrator\RecentC:\Documents and Settings\Default User\Recent%UserProfile%\Recent 系统日志分析 事件查看器 eventvwr.msc

6.8.5.2. 用户分析¶

查看是否有新增用户查看服务器是否有弱口令查看管理员对应键值lusrmgr.msc 查看账户变化net user 列出当前登录账户wmic UserAccount get 列出当前系统所有账户

6.8.5.3. 进程分析¶

netstat -ano 查看是否打开了可疑端口tasklist 查看是否有可疑进程 分析开机自启程序 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunonceHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce(ProfilePath)\Start Menu\Programs\Startup 启动项msconfig 启动选项卡gpedit.msc 组策略编辑器 查看计划或定时任务 C:\Windows\System32\Tasks\C:\Windows\SysWOW64\Tasks\C:\Windows\tasks\schtaskstaskschd.msc

6.8.6. 参考链接¶

黑客入侵应急分析手工排查取证入门 web篇Windows 系统安全事件应急响应企业安全应急响应
最新回复(0)